2. РиУ КИТ
  3. Внедрение
  4. Бизнес-кейс

Бизнес-кейс

Деловая практика требует подготовки бизнес-кейса (экономического обоснования) для анализа и обоснования начала крупного проекта и/или финансовых инвестиций. Пример, описанный ниже, представлен в качестве общего руководства, призванного стимулировать подготовку бизнес-кейса для обоснования инвестиций в программу внедрения системы РиУ КИТ. У каждого предприятия есть свои причины для улучшения системы РиУ КИТ, а также свой подход к подготовке бизнес-кейсов, который может варьироваться от детального подхода, с акцентом на измеримые выгоды, до более высоко-уровневого с качественной оценкой перспектив. Предприятия могут следовать существующим внутренним подходам к обоснованию инвестиций и построению бизнес-кейсов, в случае их наличия.
Описанный ниже пример и рекомендации основаны на реальной ситуации в конкретном, существующем предприятии и приведены здесь, чтобы помочь сосредоточиться на проблемах, которые должны быть решены в экономическом обосновании.
"Примером сценария является крупная международная корпорация XYZ со смесью традиционных, хорошо зарекомендовавших себя направлений бизнеса, а также новых направлений, использующих самые современные Интернет-технологии. Многие бизнес-подразделения были приобретены и существуют в разных странах и разных местных политических, культурных и экономических средах. На команду исполнительного руководства Штаб квартиры группы оказали влияние последние рекомендации по руководству предприятием, такие как методология COBIT, которые они использовали централизованно в течение некоторого времени ранее. Они хотят быть уверенными в том, что быстрое расширение и внедрение современных информационных технологий принесут ожидаемую ценность и намерены управлять значительными новыми рисками, связанными с этим. Таким образом, они обязали предприятия всей группы принять единый подход к руководству и управлению корпоративными ИТ. Этот подход включает участие функций внутреннего аудита и управления рисками, а также годовую отчетность руководства бизнес-подразделений об адекватности мер контроля во всех предприятиях группы."

Резюме для руководства

В этом экономическом обосновании описывается объем предлагаемой программы РиУ КИТ для корпорации XYZ на основе методологии руководства и управления корпоративными ИТ COBIT 2019.
Необходимо надлежащее экономическое обоснование, чтобы совет корпорации XYZ и бизнес-подразделения поддержали инициативу и определили потенциальные выгоды. Корпорация будет отслеживать исполнение экономического обоснования для реализации ожидаемых выгод. Охват программы включает все бизнес-структуры, входящие в корпорацию. Однако, предполагается, что определенная степень приоритизации будет применяться для первоначального охвата программой из-за ограничения ресурсов.
Различные стороны заинтересованы в результатах программы, начиная с Совета Директоров корпорации и заканчивая руководством бизнес-подразделений, а также внешними сторонами, такими как акционеры и правительственные учреждения.
Необходимо учитывать некоторые существенные проблемы, а также риски при реализации программы в требуемом глобальном масштабе. Одним из наиболее сложных аспектов является предпринимательский характер многих интернет-предприятий, а также децентрализованная или федеративная бизнес-модель, существующая в корпорации.
Программа будет реализована путем сосредоточения внимания на возможностях процессов корпорации и других компонентах системы руководства по отношению к тем, которые определены системой РиУ КИТ и относятся к каждой бизнес-единице корпорации.
Соответствующие приоритеты целей в области руководства и управления, с фокусом на каждом подразделении, будут определены путем проведения семинаров участниками программы и начнутся с определения стратегических целей и бизнес-рисков, применимых к конкретному бизнес-подразделению.
Целью программы является обеспечение наличия адекватной системы руководства и управления корпоративными ИТ, включая структуры руководства и управления, а также повышение уровня возможностей и адекватности соответствующих ИТ-процессов. Ожидается, что по мере увеличения возможностей ИТ-процессов возрастут их эффективность и качество. Одновременно с этим, связанные риски будут пропорционально уменьшаться, а реальные бизнес-преимущества смогут быть реализованы каждой бизнес-единицей.
Как только процесс оценки уровня возможностей в каждом бизнес-подразделении будет внедрен, ожидается, что самооценка будет продолжаться в каждом бизнес-подразделении, как обычная бизнес-практика.
Вся программа будет реализована в два этапа. Первый этап - это этап разработки, на котором команда разработает и протестирует подход и набор инструментов, которые будут использоваться в корпорации. В конце этапа 1 результаты будут представлены руководству группы для окончательного утверждения. Как только окончательное одобрение будет получено, в форме утвержденного бизнес-кейса, программа будет развернута по всему предприятию в согласованном порядке (реализация, этап 2).
Следует отметить, что программа не несет ответственности за выполнение корректирующих действий, определенных в каждой бизнес-единице. Программа будет просто консолидировать и сообщать о прогрессе, предоставленном каждым подразделением.
Последней задачей, которую необходимо будет решить с помощью программы, является устойчивое представление результатов в будущем. Это может потребовать значительного количества времени, обсуждений и доработок, которые должны привести к улучшению существующих механизмов корпоративной отчетности и показателей/метрик.
Был подготовлен первоначальный бюджет для этапа разработки программы. Бюджет детализируется в отдельном плане-графике. Детальный бюджет будет также составлен для этапа 2 проекта и представлен на утверждение руководству группы.

Предпосылки

РиУ КИТ является неотъемлемой частью общей системы руководства предприятием, ориентированной на эффективность использования ИТ и управление рисками, связанными с зависимостью предприятия от ИТ.
ИТ интегрированы в деятельность предприятий корпорации, для многих Интернет - это основа их деятельности. Таким образом, РиУ КИТ следует структуре управления группы - децентрализованному формату. Руководство каждого дочернего предприятия/бизнес-подразделения несет ответственность за обеспечение внедрения надлежащих процессов, относящихся к РиУ КИТ.
Ежегодно руководство каждой значимой дочерней компании должно подавать официальный письменный отчет в соответствующий Комитет по рискам, который является частью Совета Директоров. В этом отчете будет подробно рассказано о степени реализации программы внедрения системы РиУ КИТ в течение финансового года. О значительных отклонениях следует сообщать на каждом запланированном заседании соответствующего Комитета по рискам.
Совет Директоров, при поддержке Комитетов по рискам и аудиту, обеспечит оценку, мониторинг, отчетность и сделает заявление по статусу программы внедрения системы РиУ КИТ группы, как части интегрированного годового отчета предприятия. Заявление будет основано на отчетах, полученных от отделов управления рисками, комплаенса и внутреннего аудита, а также от руководства каждой значимой дочерней компании. Он предоставит как внутренним, так и внешним заинтересованным сторонам актуальную и надежную информацию о статусе программы внедрения системы РиУ КИТ группы.
Службы внутреннего аудита предоставят руководству и Комитету по аудиту уверенность в адекватности и эффективности программы.
Бизнес-риски, связанные с ИТ, будут сообщаться и обсуждаться в рамках процесса управления рисками в реестрах рисков, представляемых в соответствующий Комитет по рискам.

Вызовы бизнеса

Из-за повсеместного распространения ИТ и темпов изменения технологий требуется надежная структура для адекватного управления всей ИТ-средой и исключения пробелов в системе контроля, которые могут подвергнуть предприятие неприемлемому риску.
Цель состоит в том, чтобы не препятствовать ИТ-операциям различных подразделений, а улучшить их профиль рисков таким образом, чтобы это было разумно для бизнеса и обеспечивало повышение качества и эффективности ИТ-услуг, при этом явно достигая соответствия не только политики РиУ КИТ корпорации, но и любым другим законодательным и нормативным актам и договорным требованиям.
Некоторые примеры вероятных болевых точек включают:
  • Сложности с обеспечением уверенности в ИТ из-за предпринимательского характера многих бизнес-подразделений.
  • Сложные операционные модели ИТ из-за используемых бизнес-моделей на основе Интернет-услуг.
  • Географически рассредоточенные предприятия, состоящие из разных культур и языков.
  • Децентрализованная/федеративная и в значительной степени автономная модель управления бизнесом, используемая в группе.
  • Внедрение разумных уровней управления ИТ с учетом высокотехнологичных и, иногда, часто меняющихся ИТ-специалистов.
  • ИТ-отделы балансируют стремление предприятия к инновационным возможностям и гибкости бизнеса с необходимостью управлять рисками и иметь адекватный контроль.
  • Установка уровней риска и толерантности к нему для каждого бизнес-подразделения.
  • Растущая необходимость сосредоточить внимание на соблюдении нормативных и договорных требований (индустрия платежных карт [PCI]).
  • Регулярные аудиторские заключения о низком уровне контролей ИТ и отчетах о проблемах, связанных с качеством ИТ-услуг.
  • Успешное и своевременное предоставление новых и инновационных услуг на высококонкурентном рынке.

Анализ недостатков и цели

В настоящее время в корпорации не существует общегруппового подхода или структуры для РиУ КИТ, а также не используются передовые практики и стандарты ИТ. Среди локальных бизнес-подразделений существуют различные уровни принятия передовых практик в отношении РиУ КИТ. В результате, традиционно очень мало внимания уделялось уровню возможностей ИТ-процессов, уровни возможностей которых обычно низкие.
Таким образом, цель программы РиУ КИТ заключается в повышении уровня возможностей и адекватности ИТ-зависимых процессов и средств контроля, соответствующих каждому бизнес-подразделению, с определенным приоритетом.
Результатом должны стать идентификация и формулирование значительных рисков с тем, чтобы руководство могло устранить эти риски и отчитаться об их статусе. По мере увеличения уровня возможностей ИТ-процессов каждого бизнес-подразделения их качество и эффективность также должны пропорционально расти, а профиль бизнес-рисков, связанных с ИТ, для каждого подразделения должен уменьшаться.
В конечном итоге польза ИТ для бизнеса должна возрасти в результате эффективного внедрения системы РиУ КИТ.

Альтернативы

Существуют различные методологии и модели управления конкретными аспектами ИТ. COBIT признан многими как ведущая в мире модель руководства и управления ИТ на предприятии.
COBIT был выбран корпорацией в качестве предпочтительной модели для внедрения системы РиУ КИТ и, следовательно, должен быть принят всеми дочерними компаниями.
COBIT не обязательно внедрять полностью, необходимо реализовать только те области, которые относятся к конкретной компании или бизнес-подразделению, с учетом следующего:
  • стадия развития предприятия в жизненном цикле бизнеса;
  • бизнес-цели предприятия;
  • важность ИТ для бизнеса;
  • связанные с ИТ бизнес-риски, с которыми сталкивается организация;
  • регуляторные и договорные требования;
  • другие соответствующие причины.

Программа внедрения

Программа внедрения системы РиУ КИТ планируется в два отдельных этапа:

Этап 1. Предварительное планирование

Этап 1 - разработка программы. На этом этапе программы предпринимаются следующие шаги:
  1. Определяется структура основной команды среди заинтересованных сторон и участников проекта.
  2. Основная команда завершает базовое обучение РиУ КИТ (COBIT).
  3. С основной командой проводятся мастер-классы для определения подхода к внедрению системы в группе компаний.
  4. Создается он-лайн сообщество для хранения и обмена знаниями.
  5. Определяются все заинтересованные стороны и их потребности.
  6. Уточняются и при необходимости изменяются структуры комитетов, роли и обязанности, правила принятия решений и порядок отчетности.
  7. В качестве основы для успешной реализации программы разрабатывается её экономическое обоснование (бизнес-кейс).
  8. Создается план коммуникаций для руководящих принципов, политик и ожидаемых выгод на протяжении всей программы.
  9. Разрабатываются инструменты оценки и отчетности для использования в течение срока действия программы и после нее.
  10. Апробирование подхода на одном предприятии с целью упрощения логистики, уточнения подхода и инструментов, а также для понимания и количественной оценки трудностей выполнения программы в более сложных бизнес-условиях.
  11. Представление окончательного экономического обоснования и подхода, включая план развертывания программы для утверждения исполнительным руководством корпорации.

Этап 2. Реализация программы

Этап 2 включает следующие шаги:
  1. Определение драйверов улучшения системы РиУ КИТ как с точки зрения группы компаний, так и на уровне бизнес-единиц.
  2. Определение текущего статуса системы РиУ КИТ.
  3. Определение желаемого состояния системы РиУ КИТ (как краткосрочное, так и долгосрочное).
  4. Определение того, что необходимо реализовать на уровне бизнес-подразделений, чтобы достичь локальных целей бизнеса и соответствовать ожиданиям группы.
  5. Реализация выявленных и согласованных проектов улучшения на уровне локальных бизнес-единиц.
  6. Осознание и мониторинг преимуществ.
  7. Поддержание новых способов работы, сохраняя динамику улучшений.

Рамки программы

Программа внедрения системы РиУ КИТ будет охватывать:
  1. Все предприятия группы в соответствии с приоритетами из-за ограниченных ресурсов программы.
  2. Способ расстановки приоритетов необходимо согласовать с руководством Корпорации, но это может быть сделано на следующей основе:
    • размер инвестиций;
    • прибыль/вклад в группу;
    • профиль риска с точки зрения группы;
    • сочетание этих критериев.
  3. Список юридических лиц, подлежащих страхованию в текущем финансовом году. Должно быть согласовано с руководством Корпорации.

Подход

Программа внедрения системы РиУ КИТ может достичь своей цели за счет использования управляемых интерактивных семинаров со всеми предприятиями участниками программы.
Процесс начинается с выяснения и приоритизации бизнес-целей у их владельцев, обычно это генеральный и финансовый директора. Такой подход должен гарантировать, что результаты программы будут тесно связаны с ожидаемыми бизнес-результатами и их приоритетами.
После этого, акцент смещается на ИТ, обычно это CIO и/или CTO. На этом уровне рассматриваются дальнейшие детали связанных с ИТ бизнес-рисков и целей.
Затем, приоритизированные бизнес- и ИТ-цели, а также бизнес-риски, связанные с ИТ, вводятся в инструмент (на основе рекомендаций COBIT), который определяет наиболее важные области внимания в рамках ИТ-процессов для дальнейшего рассмотрения бизнес-подразделениями. Таким образом, бизнес-подразделения могут расставить приоритеты в своих усилиях по устранению ИТ-рисков.

Результаты

Как упоминалось ранее, общая цель программы состоит в том, чтобы внедрить передовой опыт РиУ КИТ в деятельность различных подразделений группы. Конкретные результаты будут получены в рамках программы для того, чтобы Корпорация могла оценить достижение намеченных целей. К таким результатам относятся следующие:
  1. Программа будет способствовать обмену внутренними знаниями через интранет-платформу и использовать существующие отношения с поставщиками в интересах отдельных бизнес-подразделений.
  2. Подробные отчеты по каждому взаимодействию с бизнес-подразделениями будут созданы на основе инструмента оценки программы и будут включать следующее:
    • текущие приоритеты бизнес-целей и соответствующие им приоритеты целей ИТ на основе каскада целей РиУ КИТ;
    • связанные с ИТ риски, идентифицированные бизнес-подразделениями, и согласованные приоритетные области внимания на основе процессов и практик, а также других компонентов РиУ КИТ.
  3. Будут созданы общие отчеты о предполагаемом охвате бизнес-подразделений Корпорации.
  4. Консолидированная групповая отчетность будет охватывать:
    • прогресс бизнес-подразделений, участвующих в согласованных проектах внедрения, на основе мониторинга согласованных показателей эффективности;
    • консолидированный обзор ИТ-рисков по подразделениям Корпорации;
    • особые требования комитета(ов) по рискам.
  5. Финансовая отчетность по бюджету программы в сравнении с фактически затраченной суммой.
  6. Будет создан мониторинг выгод и отчетность по целям и показателям, определенным бизнес-подразделениями.

Риски и факторы успеха

Ниже перечислены возможные риски и факторы успешного начала и продолжения программы. Риски могут быть снижены за счет сосредоточения внимания на обеспечении изменений, а также постоянного мониторинга и устранения проблем с помощью анализа программ и реестра рисков. Возможные типы рисков и факторов успеха:
  1. Вовлеченность и поддержка программы руководством как на уровне группы, так и на уровне бизнес-подразделений.
  2. Демонстрация фактического предоставления ценности и выгод для каждого предприятия посредством принятия программы. Бизнес-подразделения должны захотеть принять процесс исходя из ценности, которую он принесет, а не делать это из-за действующей политики.
  3. Активное участие руководства в реализации программы.
  4. Определение ключевых заинтересованных сторон в каждом подразделении для участия в программе.
  5. Понимание бизнеса менеджментом ИТ.
  6. Успешная интеграция с другими инициативами по управлению или комплаенсу, существующими в группе.
  7. Соответствующие оргструктуры и комитеты для надзора за программой. Например, ход выполнения программы в целом может стать пунктом повестки дня исполнительного комитета по ИТ. Также необходимо создать эквивалентные оргструктуры на уровне подразделений.

Участники

Следующие стороны были определены в качестве заинтересованных в результатах программы внедрения системы РиУ КИТ:
  1. Комитет по рискам.
  2. Управляющий комитет по ИТ.
  3. Руководство.
  4. Комплаенс.
  5. Региональное руководство.
  6. Исполнительное руководство на локальном уровне (включая управление ИТ).
  7. Служба внутреннего аудита.
Окончательная структура, содержащая конкретные имена заинтересованных сторон, будет составлена ​​и опубликована после консультаций с руководством группы.
Программе внедрения системы РиУ КИТ необходимо, чтобы идентифицированные заинтересованные стороны предоставили следующие:
  1. Рекомендации по общему направлению программы. Сюда входят решения по важным вопросам, связанным с корпоративным управлением, которые определены в матрице распределения ответственности в соответствии с руководством РиУ КИТ. Это также включает в себя установление приоритетов, согласование финансирования и утверждение ценностных целей.
  2. Принятие результатов и мониторинг ожидаемых выгод от программы.

Анализ выгод и затрат

Программа должна определять ожидаемые выгоды для бизнеса и контролировать их создание за счет инвестиций. Руководство подразделений должно мотивировать и поддерживать программу. Надежная система РиУ КИТ должна приводить к выгодам, которые будут устанавливаться в качестве конкретных целей для каждого бизнес-подразделения, а также контролироваться и измеряться в процессе их реализации. Такие преимущества включают:
  1. Максимальную реализацию бизнес-возможностей с помощью ИТ, при одновременном снижении бизнес-рисков, связанных с ИТ, до приемлемых уровней, обеспечивая ответственную оценку рисков и возможностей во всех бизнес-инициативах.
  2. Поддержку бизнес-целей за счет оптимальной отдачи от ИТ-инвестиций, обеспечиваемой согласованностью ИТ-инициатив со стратегией бизнеса.
  3. Соблюдение законодательных, нормативных и договорных требований, а также внутренних политик и процедур.
  4. Последовательный подход к измерению и мониторингу прогресса, эффективности и результативности.
  5. Повышение качества предоставления услуг.
  6. Снижение затрат на ИТ и/или повышение производительности ИТ за счет последовательного выполнения большего объема работы за меньшее время и с меньшими ресурсами.
Затраты этапа 1 будут включать: время, необходимое для управления программой, внешние консультационные услуги и курсы начальной подготовки. Стоимость семинаров для руководителей отдельных бизнес-подразделений и владельцев процессов будет финансироваться на локальном уровне. Конкретные инициативы по улучшению проекта для каждого бизнес-подразделения будут оценены на этапе 2 и будут рассматриваться как в индивидуальном порядке, так и в целом. Это позволит группе максимизировать эффективность и стандартизацию программы.